月度归档： 2025 年 1 月

执行命令display aaa abnormal-offline-record all，查看User offline reason字段，其取值为IP address conflict。出现IP地址冲突主要有以下两种情况：

一是网络中存在某些终端或者终端上安装了“飞秋”等局域网通信工具同时发送相同IP地址的ARP报文，导致设备不允许使用相同IP地址的终端上线。可以采用如下方法解决问题。

●通过获取报文确认冲突的IP地址，排查这些终端或工具，禁止发送相同IP地址的ARP报文。

●V200R013C00及之后的版本，可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。

二是网络中存在某些异常终端，这些终端在关机或者休眠后网卡仍然会有流量，因此在支持流量探测的设备上流量探测成功，用户表一直保持在线，不会老化，但是实际DHCP服务器地址池中的该地址早已释放，后续其他终端获取到该地址在设备上认证时就会检测到IP地址冲突，可以采取如下方法解决
V200R013C00及之后的版本，可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。

执行命令display aaa offline-record all，查看User offline reason字段，其取值为ARP detect fail或者AS detect fail（策略联动场景AS上ARP探测失败）。

注：
用户下线探测报文使用的源IP地址优先级：

1、用户所在VLAN对应VLANIF接口下的IP地址，且与用户同网段

2、命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address指定的VLAN内用户下线探测报文的源IP地址，其中VLAN为终端上线的VLAN，IP和MAC一般情况下为终端网关的IP和MAC

3、命令access-user arp-detect default ip-address ip-address指定的用户下线探测报文的默认源IP地址。

单机认证场景下，可以执行以下步骤排查问题。

1、检查用户所在VLAN对应VLANIF接口下是否配置IP地址。

●如果未配置，请执行步骤2。

●如果已配置，请确保配置的IP地址与用户同网段。

2、执行命令display current-configuration | include access-user arp-detect vlan检查是否指定的VLAN内用户下线探测报文的源IP地址。

●如果未指定，请执行步骤3。

●如果已指定，请务必确保配置正确。

注：在主备切换场景下，请确保网关的MAC地址不变，否则会导致终端ARP表项错误，造成终端与设备之间网络不通。

3、执行命令display current-configuration | include access-user arp-detect default ip-address检查是否指定用户下线探测报文的默认源IP地址。

●如果未指定，V200R010C00SPC600以及之前版本，ARP探测默认源IP地址为255.255.255.255，绝大多数终端不回应该探测报文导致终端掉线，需将ARP探测源IP地址改为0.0.0.0；从V200R011C10SPC600版本开始，ARP探测默认源IP地址修改为0.0.0.0。

●如果已指定，请务必确保配置正确。一般建议ARP探测源IP地址为0.0.0.0。
故障仍未解决时，执行命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address，配置网关IP和MAC为ARP探测源IP和源MAC，如果故障仍未解决，请确认终端是否已经关机或离开网络，或者排查设备上是否存在ARP攻击导致CPCAR丢包。

策略联动场景下，可以执行以下步骤排查问题。

1、在控制设备上执行命令display current-configuration | undo authentication handshake检查是否关闭了ARP探测。

●如果已关闭，请执行步骤2。

●如果未关闭，请系统视图执行命令undo authentication handshake关闭控制设备上的ARP探测功能。

2、在接入设备上执行命令display current-configuration | include access-user arp-detect vlan检查是否指定的VLAN内用户下线探测报文的源IP地址。

●如果未指定，请执行步骤3。

●如果已指定，请务必确保配置正确。

注：在主备切换场景下，请确保网关的MAC地址不变，否则会导致终端ARP表项错误，造成终端与设备之间网络不通。

3、在接入设备上执行命令display current-configuration | include access-user arp-detect default ip-address检查是否指定用户下线探测报文的默认源IP地址。

●如果未指定，V200R010C00SPC600以及之前版本，ARP探测默认源IP地址为255.255.255.255，绝大多数终端不回应该探测报文导致终端掉线，需将ARP探测源IP地址改为0.0.0.0；从V200R011C10SPC600版本开始，ARP探测默认源IP地址修改为0.0.0.0。

●如果已指定，请务必确保配置正确。一般建议ARP探测源IP地址为0.0.0.0。

故障仍未解决时，如果是V200R019之前的版本，请在接入设备上执行命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address，配置网关IP和MAC为ARP探测源IP和源MAC；如果是V200R019及之后的版本，请在控制设备上执行access-user arp-detect control-point mac-ip enable。如果故障仍未解决，请确认终端是否已经关机或离开网络，或者排查设备上是否存在ARP攻击导致CPCAR丢包。

MAC认证失败时，首先需确保AAA认证域、MAC认证等基本配置正确，具体排查措施请参阅：认证域及相关配置错误，然后再通过下面方法快速定位认证失败原因。

查看display aaa online-fail-record all命令的回显字段User online fail reason。

查看trace object mac-address mac-address命令的Trace信息。

常见的MAC认证失败原因

1、Radius authentication reject

RADIUS服务器认证拒绝

该原因为User online fail reason字段显示信息

2、Received a authentication reject packet from radius server(server ip = x.x.x.x).

收到RADIUS服务器的认证拒绝

该原因为Trace打印信息

1、2请参阅：RADIUS服务器认证拒绝

 

3、The radius server is up but has no reply

RADIUS服务器Up但无响应

该原因为User online fail reason字段显示信息

4、The radius server is not reachable

RADIUS服务器不可达

该原因为User online fail reason字段显示信息

请参阅：RADIUS服务器无响应

5、AAA receive AAA_RD_MSG_SERVERNOREPLY message(61) from RADIUS module(73).

AAA模块收到RAIDIUS服务器无响应的消息

该原因为Trace打印信息

3、4、5请参阅：RADIUS服务器无响应

 

6、User is still in quiet status

用户MAC处于静默状态

该原因为Trace打印信息

请参阅：终端MAC地址静默

 

7、Remote user is blocked

远端用户被锁定

该原因为User online fail reason字段显示信息

8、Local Authentication user block

本地用户被锁定

该原因为User online fail reason字段显示信息

7、8请参阅：MAC认证账号锁定

 

9、IP address conflict

IP地址冲突

该原因为User online fail reason字段显示信息

请参阅：IP地址冲突

 

执行命令display aaa online-fail-record all，查看User online fail reason字段，其取值为IP address conflict。出现IP地址冲突主要有以下两种情况：

一、网络中存在某些终端或者终端上安装了“飞秋”等局域网通信工具同时发送相同IP地址的ARP报文，导致设备不允许使用相同IP地址的终端上线。可以采用如下方法解决问题。

●通过获取报文确认冲突的IP地址，排查这些终端或工具，禁止发送相同IP地址的ARP报文。
●V200R013C00及之后的版本，可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。

二、网络中存在某些异常终端，这些终端在关机或者休眠后网卡仍然会有流量，因此在支持流量探测的设备上流量探测成功，用户表一直保持在线，不会老化，但是实际DHCP服务器地址池中的该地址早已释放，后续其他终端获取到该地址在设备上认证时就会检测到IP地址冲突，可以采取如下方法解决

●V200R013C00及之后的版本，可以在认证模板视图下执行命令undo authentication ip-conflict-check enable关闭IP地址冲突检测功能。

执行命令display aaa online-fail-record all，查看User online fail reason字段，如果是采用远端服务器认证方式，其取值为Remote user is blocked；如果是采用本地认证方式，其取值为Local Authentication user block。可以执行以下步骤排查问题。

√如果是Remote user is blocked

1、执行命令display remote-user authen-fail blocked，确认远端认证账号被锁定是否需要立即激活。

●如果需要，V200R019C00之前版本，请在AAA视图下执行命令undo remote-aaa-user authen-fail关闭AAA远端认证失败后账号锁定功能；V200R019C00及之后版本，请在AAA视图下执行命令undo access-user remote authen-fail关闭接入用户远端认证失败后账号锁定功能。

●如果不需要，请执行步骤2。
执行命令display aaa online-fail-record，根据User online fail reason字段检查其他上线失败原因来定位问题。

√如果是Local Authentication user block

1、执行命令display local-user state block，根据State、BlockTime字段检查本地用户是否被配置为block状态。BlockTime表示本地用户被锁定时间，如果无值，本地用户被配置为block状态。

●如果是，请执行步骤2。

●如果不是，请执行步骤3。

2、检查本地用户为block状态是否合理。

●如果合理，无需关注。

●如果不合理，请在AAA视图下执行命令local-user state active激活该用户。

3、输错多次被锁定时检查本地账户是否需要立即激活。

●如果需要，请在AAA视图下执行命令local-user state active激活该用户。如果确认输入的用户名和密码正确但是认证仍然失败，请执行步骤4。

●如果不需要，请执行步骤4。

4、执行命令display aaa online-fail-record，根据User online fail reason字段检查其他上线失败原因来定位问题。

在系统视图下执行命令trace object mac-address mac-address可以看到提示User is still in quiet status，说明终端处于静默状态。

可以执行以下步骤进行排查。
1、执行命令display dot1x quiet-user all，查看用户MAC处于静默状态的剩余静默时间。

该终端用户在60s内连续802.1X认证失败达到一定次数，需等到用户MAC退出静默状态后再重新尝试。也可以在系统视图下执行命令dot1x timer quiet-period quiet-period-times调小802.1X用户被静默的时间。

2、执行命令display aaa online-fail-record，根据User online fail reason字段检查其他上线失败原因来定位问题。

有两种方式快速确认RADIUS服务器是否回应。

方法一：执行命令display aaa online-fail-record all，发现User online fail reason字段显示为The radius server is up but has no reply或者The radius server is not reachable。

方法二：在系统视图下执行命令trace object mac-address mac-address可以看到服务器没有回应。

出现服务器无响应的情况首先确认服务器是否添加了设备IP。如果没有添加，请添加正确的设备IP。如果已经添加，那么需要确定服务器添加的设备IP与认证请求的源IP是否一致（设备默认出接口的IP地址作为向RADIUS服务器发送RADIUS报文时使用的源IP地址）。

用户可以执行命令display radius-server configuration template查看RADIUS服务器模板下是否配置了source-ip。

如果已配置，则服务器上添加的设备IP必须要是这个source-ip。

如果未配置，则可以执行命令display ip routing-table查路由确认认证请求报文的源IP是否是服务器添加的设备IP。例如RADIUS服务器IP是192.168.1.1，通过查询路由的命令可以看到NextHop是192.168.1.101，这个地址即作为认证请求报文的源IP。

如果服务器上添加设备IP没有问题，就需要在设备和服务器上同时获取报文确认中间链路是否存在问题，例如中间网络存在防火墙，防火墙未放通RADIUS（默认认证端口：1812）报文。

另外一种服务器无响应场景是服务器和设备配置的shared-key不一致，可以通过test-aaa命令测试。Debug信息如下所示，出现这种情况需要确保设备和服务器上的shared-key一致。

如果出现大量用户无法认证，日志里出现RADIUS服务器Down记录：

那么可能是服务器或中间网络出现异常，需要逐一排查；也可能是设备封装的报文较大，分片发送至服务器，服务器无法正确识别处理，不做回应采集trace信息，查看未回应报文长度是否大于1500，若大于，可调小接口MTU值。也可在设备侧抓包，查看是否有类似下图的radius报文：

 

有两种方式快速确认RADIUS服务器是否回应认证拒绝。

方法一：执行命令display aaa online-fail-record all，发现User online fail reason字段显示为Radius authentication reject。

方法二：在系统视图下执行命令trace object mac-address mac-address可以看到服务器回应了拒绝报文。

服务器回应认证拒绝有多种原因，最常见的有用户名密码错误、RADIUS服务器授权策略无法匹配等，这些问题需要首先通过排查服务器日志找到根因后，再调整服务器、终端或设备配置解决。

需要注意的是，对接Cisco ISE或者Aruba Clearpass服务器时，如果MAC认证的用户名为终端的MAC地址，则需要在设备的RADIUS服务器模板下执行命令radius-attribute set Service-Type 10 auth-type mac将RADIUS认证请求中的Service-Type属性需要设置为10（Call Check），否则会导致认证失败，因为设备默认携带的值是2（Framed）。同时服务器可能对RADIUS认证请求中的Calling-Station-Id属性格式有要求，需先确认好服务器支持的格式，然后在设备的RADIUS服务器模板下执行命令calling-station-id mac-format修改格式。

执行命令display authentication mode确认NAC配置模式：
unified-mode：统一模式。
common-mode：传统模式。

统一模式

认证域之间存在优先级，终端在优先级高的认证域中进行认证：MAC OUI指定认证域 > 指定接入类型的强制域 > 非指定接入类型的强制域 > 用户名中携带的合法域 > 指定接入类型的默认域 > 非指定接入类型的默认域 > 全局默认域。

首先确认全局是否根据MAC OUI指定了认证域，然后再确认认证接口下绑定的认证模板是否通过access-domain指定了默认域或强制域，最后再确认全局默认域。请执行以下步骤进行检查。

1、执行命令display current-configuration | include mac-authen force mac-address检查是否根据MAC OUI指定了认证域。

●未配置时，请执行步骤2。

●已配置时，请确认该配置是否正确。如果不正确，请在系统视图下执行命令domain domain-name mac-authen force mac-address mac-address mask mask修改配置。

2、执行命令display authentication-profile configuration检查认证模板下认证域是否配置。

●未配置时，请确认是否需要配置。如果无需配置，请执行步骤2；如果需要配置，请在认证模板视图下执行命令access-domain domain-name mac-authen [ force ]。

●已配置时，请确认配置是否正确。如果不正确，请在认证模板视图下执行命令access-domain domain-name mac-authen [ force ]。

3、执行命令display aaa configuration确认全局默认域。

根据全局默认域，执行命令display domain name domain-name确认该域下的认证、计费方案以及绑定的认证服务器配置。

传统模式

认证域之间存在优先级，终端在优先级高的认证域中进行认证：MAC OUI指定认证域 > 接口下指定的MAC认证域 > 全局默认域。

首先确认全局是否根据MAC OUI指定了认证域，最后再确认全局默认域。请执行以下步骤进行检查。

1、执行命令display current-configuration | include mac-authen domain检查是否根据MAC OUI指定了认证域或接口下指定了认证域。

●未配置时，请执行步骤2。

●已配置时，请确认该配置是否正确。如果不正确，请在系统视图下执行命令mac-authen domain isp-name [ mac-address mac-address mask mask ]修改配置，或在接口视图下执行命令mac-authen domain isp-name修改配置。

2、执行命令display aaa configuration确认全局默认域。

根据全局默认域，执行命令display domain name domain-name确认该域下的认证、计费方案以及绑定的认证服务器配置。

然后执行命令display authentication-scheme、display accounting-scheme、display radius-server configuration template确认配置是否正确。如果不正确，请执行相应的命令修改。

 

查看命令display aaa online-fail-record all，User online fail reason字段显示Start accounting fail。

常见的原因有两种：

1. 用户使用的域下绑定了计费方案，但是RADIUS模板里未配置计费服务器。

2. 接入用户使用本地认证并且配置了计费功能，由于本地认证不支持计费功能，计费方案中开始计费失败策略配置错误会导致用户被踢下线。

3.用户使用服务器+本地认证方式时，配置了计费功能，当服务器不响应转入本地认证时，本地认证不支持计费功能，计费方案中开始计费失败策略配置错误会导致用户被踢下线。

可以通过以下方法解决：

1. 对于第一种情况，在RADIUS模板下正确配置计费服务器。

2. 对于第二种情况，处理该问题需要首先确定用户使用的域，然后确定域下绑定的计费方案，然后取消绑定的计费方案。

3. 对于第三种情况，处理该问题需要首先确定用户使用的域，然后确定域下绑定的计费方案，最后在计费方案中修改开始计费失败策略为：开始计费失败后用户仍在线。